SAS(Security Assessments Sharing)? Microsoft 통합 보안 전략의 핵심…

SAS(Security Assessments Sharing)? Microsoft 통합 보안 전략의 핵심…

  • Comments 1
  • Likes

Microsoft 통합 보안 전략의 기본 요소에는 무엇이 있을까요? 포스팅에서는 Microsoft 통합 보안 전략의 기본 요소인 Forefront 기술에 대해서 전반적으로 살펴보았습니다. 몇몇 의견의 공통점이 참 많다~ 라는 점.. 그리고 보안이라고 하는 요소가 신경써야 할 부분이 참 광범위하다는 점이었습니다.

오늘은 통합 보안 전략의 핵심인 SAS(Security Assessments Sharing)에 대해서 살펴보려고 합니다.

이름만으로도 느낌이 오시나요? 보안 평가 공유…

지금까지 대부분의 보안 기술은 영역별로 구분되어져서 관리되고, 구성되었습니다. Edge면 Edge, Server면 Server, EndPoint면 EndPoint등.. 이렇게 개별적으로 분리되어져서 운영되는 것을 한단어로 표현하면 Silo(사일로) 컨셉으로 관리되고 있다는 것입니다. Silo라는 단어가 매우 중요합니다. 하나의 예를 들어보죠.

image
  1. 회사내의 꼬알라가 웹 사이트에서 악성 코드를 다운로드받아서 실행하거나, 모르는 사이에 실행이 이루어집니다.
  2. 악성 코드에 감염됩니다. 이 즉시, 악성 코드를 전파하기 위해 네트워크 패킷을 발생시킵니다.
  3. 이를 네트워크 관리자가 감지하여, 발생 근원지를 파악하나, 네트워크적인 정보만으로는 누군지 알 수 없습니다.
  4. 전화기를 들고, 데스크톱 관리자에게 해당 근원지의 정보를 요청합니다.
  5. 정리가 되어져 있는 무언가(자산 관리 목록), 또는 DNS 역방향 질의를 통해 해당 머신을 찾습니다.
  6. 네트워크팀에 요청하여 네트워크 분리를 요구합니다.
  7. 중앙 관리가 가능한 안티-멀웨어 관리 서버가 있다면, 클라이언트 스캐닝 작업을 명령합니다. 없으면 개별적으로 실행합니다.

7줄 정도로 요약됩니다만, 이 작업이 시작되서 완료되는 데까지 얼마정도의 시간이 필요할까요? 그리고 실제 문제가 발생한 시점에 관리자는 사전 파악이 가능할까요?

매우 오랜 시간이 걸리며, 사전 파악은 상당히 힘듭니다. (네트워크 모니터 화면 앞에서 살지 않는한요.) 악성 코드에 의해 내부 네트워크의 장애뿐만 아니라, 메일 또는 인스턴스 메시징, 네트워크를 통해 감염된 클라이언트의 중요한 자사 정보가 외부로 유출되었을 수도 있습니다. 한 사용자의 무심코 진행한 한가지 일이 큰 사내 사고로 이어지게 된다는 것이죠. (IT 하시는 분들께서는 설마 저런 사람이 있을까? 라고 생각하시지만, 일반적인 지식 근로자분들은 컴퓨터 관리에 대해서는 거의 신경쓰지 않는다는 것을 잘 아실 것입니다.)

무엇이 문제일까요?

바로 보안 기술간의 Silo 컨셉이 문제입니다. 무언가 유기적이고 통합적으로 연동되어져야 한다는 것에는 동의하실 수 있다고 봅니다. 이를 Seamless한 보안 기술이라고 이야기할 수 있습니다. 다른 그림을 하나 보시죠.

image
  1. 회사내의 꼬알라가 웹 사이트에서 악성 코드를 다운로드받아서 실행하거나, 모르는 사이에 실행이 이루어집니다. (동일한 시작점입니다.)
  2. 이를 Edge(가장자리)에 배치된 Proxy 또는 UTM에서 감지합니다. 무언가 악성 코드에 대해 차단을 하거나, 클라이언트의 판단에 맡기기 위해 Bypass할 수도 있습니다. 그렇지만 악성 코드가 네트워크를 통해서 유입되었다는 것은 감지하였습니다.
  3. 이 정보를 중앙에 있는 안티-멀웨어 서버로 전송해줍니다. 안티-멀웨어 서버는 해당 정보를 바탕으로 경고(Alert)을 띄웁니다. 사전에 보안 경고에 대한 처리 방안(Response)가 만들어져 있다면, 이를 진행합니다.
  4. 처리 방안의 첫번째는 정보의 유출을 막기 위해, Edge에서 동적으로 해당 클라이언트의 외부 접근을 차단합니다.
  5. 처리 방안의 두번째는 메일, IM 서버의 접근을 차단합니다.
  6. 처리 방안의 세번째는 사용자의 계정을 일시적으로 잠급니다.(Lock)
  7. 처리 방안의 마지막은 사용자의 컴퓨터내 설치된 안티-멀웨어 기술에 스캐닝 명령을 내립니다.

어떠신가요? 결론적으로 처리되는 방안은 같습니다만.. 2번단계에서 Edge가 파악한 그 무언가의 보안 평가 정보(Security Assessment)가 사내의 보안 인프라간에 공유가 되어, 다이내믹한 보안 대응을 할 수 있습니다. 이 때 사용되는 보안 정보 공유를 SAS라고 부릅니다. SAS를 사용하기 위한 보안 기술간의 채널을 SAC(Security Assessments Channel)이라고 부르고요.

image

image

image

Forefront-ProtectionMgr10_h_rgb

Microsoft 통합 보안의 전략의 중요 요소인 SAS에 대한 처리는 바로 Forefront Protection Manager(FPM) 2010이 담당하게 됩니다. 위의 연속된 그림 3장에서 보실 수 있는 것처럼, 조건에 대한(특정 컴퓨터의 심각도가 얼마 이상에 이에 대한 확신이 얼마 이상이면..) 처리 방안(인터넷에 대한 접근 제한, SharePoint에 대한 접근 차단, 메일에 대한 접근 차단)을 선언하실 수 있다는 것이죠.

image[42]

Forefront TMG 2010은 HoneyPot의 컨셉을 가지고 있습니다. 이를 TMG 2010에서는 Decoy IP라고 부릅니다. 사내의 악성 코드가 유포되어서 문제를 야기하거나, 이미 감염되어서 들어온 외부의 클라이언트가 시도하는 각종 공격 시도를 감지하여(IPS 컨셉입니다. 다른 포스팅에서 다루겠습니다.) 이에 대한 보안 평가 정보를 사내의 타 보안 인프라와 Seamless하게 공유하는 것이죠.


image

위의 그림과 같이 문제를 야기한 클라이언트는 TMG에 의해 인터넷 접근이 차단되고, FPM에 경고를 올렸으며, FEP(Forefront EndPoint Protection)에 의해 빠른 스캔 작업이 진행되는 것을 보실 수 있습니다. 어떠한 관리자의 개입없이도 이러한 처리가 손쉽게 가능한 것이 바로 SAS의 힘이라고 보실 수 있습니다. 클라이언트가 외부로 접근을 시도한 경우에는..

image

TMG에 미리 정의되어져 있던 시스템 정책에 의해서 외부 접근이 차단되게 되죠.

중요한 포인트가 있습니다. Microsoft의 통합 보안은 모든 기술이 Microsoft만을 위한 것이 아니라, 보안 생태계의 상생을 위해, 모든 인프라의 연동은 표준 방식과 플랫폼 연동 방안을 공개했으므로, 타 보안 기술도 Microsoft의 FPM을 이용하여 연동이 가능합니다. 이미 많은 보안과 네트워크 벤더가 FPM가 연동을 계획중에 있습니다.

어떠신가요? 보안에 대한 접근 방식이 조금 새로워지셨나요? 이제 단편적인 보안 인프라가 아닌, 유기적으로 연동된 통합 보안 인프라가 필요해진 시기입니다. 외부와 내부의 많은 보안 위협, 이에 대한 도입 비용, 그리고 무수히 많이 흩어져 있는 보안 기술들이 묶여야할 시기라는 것이죠. 이에 보안은 이제 플랫폼적인 접근, 바로 Business Ready Security가 필요하다는 것입니다. Smile

Comments
  • ISA2004 만으로도 많은 만족을 하는 상황인데 이걸 통합적으로 관리를 하는 그런날이 올까라는 생각도 해봅니다. 보안에 관련된 제품들이 제 각각이라 오히려 더 복잡하게 운영되는걸 봤을때 차라리 위 내용처럼 통합적으로 나가면 좋을텐데...라는 생각만 해봐요.

    MS통합보안이라는 표현보단 MS인프라 통합쪽이 더 와닿습니다.

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment